Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Diritto civile
Privacy e Cybersecurity

Soft spam e base giuridica marketing: pronuncia Cassazione

Scarica PDF Stampa

Con un’importante e recente sentenza, la n. 7555 del 15 marzo 2023, la seconda sezione civile della Corte di Cassazione si è pronunciata sul cosiddetto “soft spam” (pratica di marketing molto utilizzata sul mercato, per cui la base giuridica del trattamento dei dati non è, come di consueto, il consenso dell’interessato, ma il legittimo interesse del Titolare, in un’interpretazione a volte un po’ troppo estensiva dell’art. 130 del codice privacy).
In questo articolo, i cyberavvocati Luisa Di Giacomo e Marina Mirabella approfondiscono il tema del soft spam e commentano il principio di diritto sancito dalla Cassazione, secondo cui “Il D.Lgs. n. 196 del 2003, art. 130, comma 4, va interpretato nel senso che non è necessario il consenso dell’interessato se il titolare del trattamento utilizza, ai fini della a vendita diretta di propri prodotti o servizi le coordinate di posta elettronica fornite dal medesimo nel contesto della vendita, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni.
Deve essere richiesto il consenso, ai sensi del D.Lgs. n. 196 del 2003, art. 130, comma 1 e 2, nell’ipotesi in cui l’interessato abbia solamente effettuato la registrazione sul sito web, abbia concluso un contratto di prova o comunque abbia concluso un contratto a titolo gratuito con il titolare del trattamento”.
Volume per approfondire: I ricorsi al Garante della privacy -I diritti, i doveri e le sanzioni

Indice

1. I fatti di causa: il provvedimento 276/2015 del Garante privacy


La vicenda nasce in epoca pre-GDPR, quanto il Garante per la Protezione dei dati personali, con il provvedimento n. 276 del 7 maggio 2015 ha sanzionato per 20.000 euro una società, titolare di un sito web, che offriva il servizio di comparazione di preventivi, per avere trattato dati personali a scopo di marketing acquisendo un consenso obbligatorio e indistinto rispetto alla pluralità di finalità del trattamento indicate nell’informativa resa agli interessati, in violazione di quanto disposto dall´art. 23 del Codice Privacy (il d. lgs. 196/2003).
In particolare, il titolare del trattamento aveva trattato, senza consenso, i dati personali di un cliente, che si era registrato sul sito internet della società, solo per “provarlo”, senza stipulare alcun contratto di vendita di un bene o di un servizio.
Per la raccolta di dati personali, effettuata tramite un form di contatto, infatti, la società aveva reso un’informativa ai sensi dell’art. 13 del d.lgs. 30 giugno 2003, n. 196, recante la finalità ulteriore del trattamento di mailing marketing con la precisazione della natura facoltativa del conferimento dei dati per detta finalità. A fronte di questa informativa, tuttavia, la manifestazione del consenso derivante dalle procedure di registrazione, oltre ad essere obbligatoria, era indistinta rispetto alla pluralità di finalità del trattamento indicate: consenso in sostanza “estorto” agli interessati, mancante di tutte le caratteristiche che (allora come ora) sono invece obbligatorie per la sua legittimità e dunque integrante un illecito trattamento, in violazione del  principio di “libertà” del consenso previsto dall’art. 23, comma 3 del Codice.
 

2. L’ opposizione alla sanzione amministrativa


Avverso l’ordinanza ingiunzione emessa dal Garante per la protezione dei dati personali, la società ha proposto opposizione innanzi all’autorità giudiziaria, opposizione che ha visto il Tribunale del tutto allineato con il Garante.
Il Tribunale, infatti, non ha ritenuto applicabile l’art. 130 del codice privacy (che appunto disciplina il marketing basato sul legittimo interesse del titolare, cui la società aveva fatto riferimento nelle proprie difese), e la società ha presentato ricorso per la cassazione della sentenza del Tribunale.
Il ricorso in Cassazione si è basato su un unico motivo, ovvero l’errata interpretazione dell’art. 130 del d. lgs. 196/2003.
Secondo il Tribunale, infatti, sussisterebbe un obbligo di acquisizione del consenso al trattamento dei dati per finalità commerciali, ogniqualvolta si utilizzi un sistema automatizzato per l’invio delle comunicazioni di marketing, mentre secondo la società ricorrente l’art. 130, comma 4, derogherebbe al sistema del preventivo consenso dell’interessato (c.d. “opt in”), nell’ipotesi in cui sia “i clienti a pagamento” che i “clienti non paganti” abbiano di fatto concluso un contratto con la società. La citata norma, nel prevedere che non sia necessario il consenso al trattamento dei dati se il titolare del trattamento utilizzasse le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, sarebbe applicabile, a parere della s.r.l., anche ai clienti che avevano effettuato la registrazione per provare il servizio, senza però concludere alcun contratto.
La società ricorrente ha poi evidenziato come il trattamento fosse avvenuto «nell’ambito del soddisfacimento di una richiesta di utenti che si erano registrati sul sito ed avevano richiesto di usufruire del servizio di comparazione dei preventivi, oppure di utenti interessati all’instaurazione del rapporto contrattuale, al quale erano state inviate e-mail volte a commercializzare il prodotto.
La deroga prevista dal D.lgs. n. 196 del 2003, art. 130, si estenderebbe, quindi, secondo la prospettiva della ricorrente «a tutti i soggetti che, a titolo gratuito o oneroso, siano destinatari del servizio offerto, sempre che le e-mail mandate all’indirizzo fornito in sede di registrazione riguardi prodotti analoghi a quelli già offerti ai clienti.
In particolare, la società ha evidenziato come la stessa per il trattamento dei dati abbia
–          fornito un’adeguata informativa sia nella comunicazione iniziale sia in quelle successive, al fine di renderlo edotto circa la possibilità di opporsi in ogni momento alla ricezione delle comunicazioni;
–          utilizzato esclusivamente le coordinate di posta elettronica dell’interessato, fornite nell’ambito di un precedente rapporto contrattuale tra titolare e interessato – da inquadrarsi nel “contratto di prova del servizio” – e con finalità di vendita di beni o servizi analoghi a quelli del precedente rapporto contrattuale.

3. La decisione della Corte: il rigetto del ricorso


La Corte di Cassazione ha rigettato il ricorso, confermando la decisione del Garante e del Tribunale.
L’art. 130 del Codice Privacy, infatti, disciplina le cd. comunicazioni indesiderate prevedendo in generale, al comma 1, che “l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente”.
La norma, quindi, richiede il consenso «non solo per l’invio di materiale o per la vendita diretta, ma anche e più semplicemente per l’invio di generiche “comunicazioni commerciali”» sostiene la Corte.
Ma «ove il consenso sia richiesto per successive attività commerciali o promozionali si è già in presenza di una “comunicazione commerciale”».
Inoltre, l’art. 130, specifica, al comma 2, che “la disposizione (..) si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo”.
La disciplina nazionale – ricorda la Suprema Corte – costituisce attuazione della Direttiva “e-privacy” 2002/58/CE, la cui finalità è quella di evitare l’utilizzo surrettizio di mezzi rivolti all’attività di marketing nonostante la mancanza di consensi esplicitamente, e anteriormente, non rilasciati dai soggetti interessati. I punti 40 e 41 del Considerando della Direttiva evidenziano la necessità di tutelare gli abbonati da interferenze nella loro vita privata mediante comunicazioni indesiderate a scopo di commercializzazione diretta, in particolare mediante dispositivi automatici di chiamata, telefax o posta elettronica, compresi i messaggi SMS.
Il Codice Privacy riproduce fedelmente l’art. 13 della Direttiva secondo la quale “l’uso di sistemi automatizzati di chiamata senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso”.
Chiarito questo la Cassazione ha sottolineato come la giurisprudenza stessa abbia chiarito nei suoi precedenti arresti che ogni consenso in questa materia è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato.
L’ art. 130, comma 1, pone quindi una regola di ordine generale, in ragione della quale «il previo consenso del contraente o utente (c.d. “opt in”) risulta indispensabile per l’invio da parte del titolare di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale mediante l’uso di sistemi automatizzati».
Il comma 4 individua un’eccezione rispetto alla regola generale e riguarda l’ipotesi in cui il titolare del trattamento abbia ottenuto gli indirizzi di posta elettronica nel contesto della vendita di un prodotto. In tal caso, potrebbe utilizzare queste coordinate a scopi di commercializzazione diretta di propri analoghi prodotti o servizi, qualora il cliente non abbia rifiutato inizialmente tale uso (c.d. “opt out”) e a condizione che, al momento della raccolta degli indirizzi di posta elettronica, agli interessati sia offerta in modo chiaro e distinto e in ogni messaggio la possibilità di opporsi, gratuitamente e in maniera agevole.
Dal dato testuale, secondo la Corte, è emerso come la tesi della ricorrente sia fallace: l’utilizzo dei dati personali per la commercializzazione dei prodotti non richiede il consenso dell’interessato solo se acquisito “nel contesto della vendita di un prodotto o di un servizio”, escludendo tutte le altre ipotesi in cui l’acquisizione dei dati personali avvenga in modo e per finalità diverse.
Il termine “vendita” richiede che tra il titolare del trattamento ed il destinatario delle comunicazioni si sia stabilito un rapporto contrattuale a titolo oneroso nel corso del quale il compratore ha espresso il consenso alla ricezione del materiale pubblicitario.
La norma, infatti, richiede che l’invio di materiale pubblicitario riguardi servizi analoghi a quelli oggetto della vendita e non comunicazioni di altra natura: non è consentito, quindi, inviare, ad esempio comunicazioni commerciali di beni elettronici laddove la vendita abbia avuto ad oggetto capi di abbigliamento, sottolinea la Corte.
Deve poi essere prevista la possibilità di opporsi, gratuitamente e in maniera agevole, all’uso degli indirizzi di posta elettronica (c.d. “opt out”) e questo al fine di tutelare l’interessato.
Il Tribunale, quindi, secondo la Suprema Corte, ha fatto corretta applicazione della norma citata in quanto:
1)       in primo luogo, il form di raccolta dati era privo del consenso prestato per il trattamento di mailing marketing, in contrasto con il D.Lgs. n. 196 del 2003, art. 23, comma 3, che prevede l’obbligo di prestare il consenso per un trattamento chiaramente individuato;
2)      Inoltre, le coordinate di posta elettronica fornite dall’interessato non si inserivano in un contesto di vendita del servizio ma riguardavano clienti che avevano effettuato la prova del servizio, senza concludere alcun contratto con la ricorrente.
Ne è conseguito che, correttamente, il Tribunale ha ravvisato un obbligo di acquisizione del consenso al trattamento dei dati per finalità commerciali ogniqualvolta si utilizzi un sistema automatizzato per l’invio delle comunicazioni di marketing.
La deroga prevista dal comma 4 dell’art. 130 del Codice Privacy, nel prevedere che non sia necessario il consenso al trattamento dei dati se il titolare del trattamento utilizza le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, non può essere quindi applicata ai clienti che avevano effettuato la registrazione per provare il servizio, senza concludere alcun contratto.
Al contrario si applica solo ai “clienti paganti“, ovvero i clienti che abbiano concluso un contratto di vendita e, in tale contesto abbiano autorizzato la società all’utilizzo delle coordinate di posta elettronica ai fini della vendita diretta mentre, come detto, non rientrano in tale regime derogatorio i “clienti non paganti”, ovvero coloro che si siano solamente registrati o abbiano effettuato una prova del servizio.
L’interesse al servizio manifestato registrandosi sul sito non estende la deroga prevista dal D.Lgs. n. 196 del 2003, art. 130, che rimane circoscritta solamente nell’ipotesi in cui vi sia stato un rapporto contrattuale di vendita del bene o del servizio e, in tale occasione, sia stato espresso il consenso all’invio di mailing marketing.
Di conseguenza, in assenza del consenso regolarmente acquisito “a monte”, il fatto che le comunicazioni inviate contenessero “a valle” l’informazione relativa alla possibilità di disattivazione del servizio, non rileva.

Volume consigliato


Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa.

FORMATO CARTACEO

I ricorsi al Garante della privacy

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2022

23.75 €

Scopri di più

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
Nuovi strumenti tecnologici e trattamento dei dati biometrici
Francesca Scerbo 19/07/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Accesso del datore di lavoro alla mail di ex dipendenti: violazione privacy
Pier Paolo Muià 18/07/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Legge cybersecurity: in vigore oggi, ecco tutti gli adempimenti

La legge sulla cybersecurity “Disposizioni in materia di rafforzamento della cybersicurezza nazional…

Luisa Di Giacomo 17/07/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Datore di lavoro non può negare l’accesso ai dati da parte del dipendente
Pier Paolo Muià 16/07/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;